Scalable Capital 2FA (Hey Saidi)

  • Hey Saidi,


    vielen Dank für deinen tollen Podcast.


    Ich hätte ein Thema für die Kategorie "Hey Saidi".


    Ich bin aktuell bei Scalable Capital und eigentlich soweit zufrieden.


    Beim Thema Sicherheit fällt mir aber folgendes negativ auf:


    Durch die 2FA werden bei Scalable nur die Änderung von pers. Daten wie Referenzkonto und Kontaktdaten geschützt.


    Ich kann aber ohne 2FA folgende Aktionen ausführen:


    - Einloggen ins Depot auch auf neuen Geräten

    - Transaktionen ausführen

    - Passwort ändern


    Wie beurteilt ihr das Thema bezüglich dem Aspekt Sicherheit?


    Vielen Dank und beste Grüße!

  • Das gleiche würde mich auch interessieren.


    Aus meiner Sicht ist es einfach nicht nachvollziehbar warum hier bei Scalable so wenig Wert auf Standard Sicherheitsverfahren gelegt wird und vor allem sich auch scheinbar die meisten User nicht daran stören.

    Für mich ist das durchaus ein Grund mein Depot nicht bei Scalable zu haben.

  • Ich habe auch ein neues Depot bei Scalable eröffnet. (Freebroker). Die Desktop Version - fühlt sich erstmal gut an - wenn man von Onvista kommt ;). Nun kann ich jederzeit mit meiner Emailadresse und meinem Passwort in mein Depot und alle Funktionen ausführen. (Kauf, Verkauf, ... eben alles.)

    Jeder andere der meine Emailadresse kennt und irgendwie an mein Passwort gekommen ist - kann das leider auch! An dieser Stelle gibts keine 2 Faktoren Verifizierung!! Habe bei scalable angerufen - das funktioniert übrigens auch perfekt - und man bestätigt mir dass das stimmt! Da kann sich also jeder in meinen Investments austoben - z.B. Positionen verkaufen oder kaufen ... das kann ja nicht wahr sein. Das ist wirklich enttäuschend... habe ich nirgendwo sonst

    gesehen.

    Mache ich da irgendwas falsch? Habe ich da was nicht kapiert ? Pech gehabt ?

    (doch doch, ich habe mich auch auf dem Mobile authentifiziert - will das Smartphone aber nicht für Bankgeschäfte nutzen.

  • Hi RedArt, du hast nichts falsch gemacht, das ist leider so.

    Die 2 Faktor Authentifizierung kann man einstellen, aber die schützt nur die Änderung des Referenzkontos.

    Alles verkaufen und z.b. in eine einzige Aktie investieren geht auch ohne 2

    Faktor. Allerdings scheint das echt nicht viele Leute zu stören... :/

  • Wenn du gehackt wirst kann der Hacker, wobei es nicht mal ein Hacker sein müsste, sich das Geld zwar nicht auszahlen lassen aber wie schon erwähnt alles kaufen und verkaufen wie er Lustig ist.

    Incl. des Steuerlichen Schadens den er anrichten könnte wenn er z.B. plötzlich alle Anteile die dick im Plus sind veräußert.


    Ich hatte deswegen auch schon Kontakt mit SC.

    Die Antwort war: Hacker möchten nur vom Schaden anderer Profitieren, das würde er in diesem Falle aber nicht...

    Okay, kann man so sehen wenn man möchte. Der Schaden bleibt trotzdem bei mir.


    Es reicht ja einfach nur das Passwort + Maildresse zu wissen und schon kann man über jeden Browser des Planeten sein Unwesen im Depot treiben.

  • Ich hatte deswegen auch schon Kontakt mit SC.

    Die Antwort war: Hacker möchten nur vom Schaden anderer Profitieren, das würde er in diesem Falle aber nicht...

    Okay, kann man so sehen wenn man möchte. Der Schaden bleibt trotzdem bei mir.

    Genau.


    Ich verstehe nicht warum sie das nicht anbieten, technisch wäre das ja jetzt nicht soo schwierig und machen die anderen Banken ja auch. Man könnte auch den User entscheiden lassen ob er das haben will oder nicht wenn sie Angst haben das manche Leute das nervt.


    Naja, für mich heißt das zurück zur Direktbank meiner Wahl

  • Ich bin auch zurück zur ING.

    Hatte dort mein erstes Depot aber die günstigen NEO roker haben gelockt. Da inzwischen aber aucu bei der ING Sparpläne ab 1 Euro kostenfrei sind (was damals nicht der Fall war) sehe ich da keinen Nachteil.


    Und was in >20 Jahren bei der Entnahme dann für Banken, Broker oder Währungen am Markt sind kann man dann gucken wenn es akut wird.

  • Hi K.Fee, hi H4KlAuS,


    danke für Eure schnellen Antworten. Zumindest habe ich jetzt nicht mehr das Gefühl dass ich irgendetwas übersehen habe. Aber eigentlich ist ja schon allein die Tatsache dass jemand der an mein Passwort gekommen ist - genau dieses (mein!) Passwort ändern kann =Ound damit das Depot "kapern" kann =O=O (denn ich kenne ja das neue, fremde Passwort nicht) ein Hammer !!

    Könnte da die Wucht aller Finanztip Fans, vertreten durch die Finanztip-Redaktion, nicht Einfluss nehmen ? Ich versuche es mal mit einer Email an die Redaktion ...

    Ansonsten ist meine Strategie - Depot stehen lassen mit 1 .- € auf dem Referenzkonto.

    Wenn sich was zum Besseren wendet - einsteigen. Mal sehen wie lange scalable da mitspielt.

    Danke für den Tip mit ING, H4KlAuS ! Wundert mich doch echt warum das keinen juckt :sleeping:.

    Ausser uns :)

  • Aber eigentlich ist ja schon allein die Tatsache dass jemand der an mein Passwort gekommen ist -...

    Also ich habe da gar keine Bedenken. Wie soll denn jemand an mein Passwort kommen, wenn ich es nicht aufm Zettel im Portemonnaie habe?

    Ich habe ein sicheres Passwort gewählt, das ich mir gut behalten kann und ich es deshalb nirgendwo aufschreiben muss. Dazu habe ich einfach die Vornamen meiner 3. und 4. Freundin gewählt, und zwischen die Namen die Jahreszahl genommen, in der ich mit der 4. Freundin etwas angefangen hatte. Wie, bittschön, soll denn ein Hacker auf die Namen kommen? Nicht einmal Kate wusste, dass ich bis 1984 mit Anja zusammen war...

  • Das ist natürlich vorbildlich und so sollte es sein.

    Aber wir alle wissen das es eben nicht der Standard ist mit seinem Login Daten so umzugehen, sonst bräuchte man auch überhaupt keine 2 Faktor Authentifizierung.


    Leider sieht die Welt da draußen aber anders aus. Wieviele speichern ihre Daten im Browser, schreiben sie auf, nutzen unsichere PW etc.

    Natürlich liegt das Risiko beim Nutzer wenn er das so macht, für seinen Login ist jeder selbst verantwortlich.


    Im übrigen ist das was SC macht natürlich auch BaFin konform da Auszahlungen nur an sich selbst getätigt werden können. Zum ändern des Referenzkonto benötigt man dann plötzlich 2 Wege Authentifizierung über die App.

    Es ist also schon technisch vorhanden.


    Was dann innerhalb des Depot passiert ist allerdings dein persönliches Pech. Ich würde mich jedenfalls sehr freuen wenn jemand, wie er auch immer an meine Daten gekommen ist, meine Investition von >50k verscherbelt und ich plötzlich >15 k gewinn realisiert habe und versteuern darf.


    Aber vielleicht bin ich da auch etwas sensibilisiert durch den Job und der Tatsache das ich innerhalb von 12 Monaten zwei mal Opfer von Datenklau wurde ohne das ich was dafür konnte.

  • Ja, ich hab's auch im Job gelernt ! Bin offensichtlich kein IT'ler - aber wir sind eben mit

    extrem sensitiven Daten umgegangen. Leider habe ich viele Bekannte die völlig

    blauäugig mit den Brokern (auch scalable) umgehen - obwohl sie schon mehrfach gehackt wurden. Man kann es nicht verübeln... Umso mehr müssten die "Finanzdienstleister" Wert darauf legen. Aber was solls ... life is BIG!

  • Man kann es nicht verübeln... Umso mehr müssten die "Finanzdienstleister" Wert darauf legen. Aber was solls ... life is BIG!

    Ich halte es so: Wenn ein Dienstleister Dienst anbietet, die ich für - wie auch immer - unzureichend bewerte, nehme ich diese Dienste nicht in Anspruch... fertig.

    ... und der Tatsache das ich innerhalb von 12 Monaten zwei mal Opfer von Datenklau wurde ohne das ich was dafür konnte.

    Wie geht'n das?

  • Wie geht'n das?

    Da bin ich der Falsche Ansprechpartner :D

    Frag das lieber mal die Anbieter von Finanzprodukten (der hier im Forum durchaus ein Begriff ist) und Verkauf von "Gegenständern zur Individuellen Fortbewegung" (kein Onlineshop) wie sowas passieren kann...
    Der Erste Anbieter ist hier im Forum ja schon bekannt ;) Und wurde auch schon Thematisiert.

    Vom Zweiten haben wir gerade von einige Tagen die Info bekommen das sie Gehackt wurden und man gerade versucht heraus zu bekommen welche Daten alles "geklaut" wurden.


    Da man sich bei beiden aber mehr oder weniger "Nackig" machen muss was die persönlichen Daten angeht ist das nicht gerade Vertrauenerweckend.

    Daher ziehe ich, habe vorher allerdings i.d.R. auch schon, Anbieter mit einer "Sicherheitsleine oder ,- Netz" ganz klar vor.


    Deshalb kam TR z.B nie Infrage da nur per Handy/Tablett möglich. Bei SC bin auf die 2FA hereingefallen die es faktisch nicht gibt, außer es geht um die Änderung des Referenzkontos bzw. der Steuerdaten.

  • Klassischer Fall von 'You get what you pay' würde ich sagen!

    Als IT'ler finde ich das aber auch eine absolute schwache Leistung, dass es keine 2FA gibt. Ist ha heutzutage kein Problem z.B. eine SMS zu senden oder z.B. Google- / Microsoft-Authenticator zu nutzen.